「TECH+ セキュリティ - 専門家とベンダーの対話」、その第12回が2023年6月9日にオンラインで開催された。テーマは「運用現場の選択肢」だ。本稿では、当日開催されたプログラムから、株式会社エーアイセキュリティラボ 執行役員 関根鉄平氏の講演「AIで実現するWebアプリケーション・Web API診断の内製化・自動化」を紹介する。

  • 株式会社エーアイセキュリティラボカスタマーエクスペリエンス部執行役員関根 鉄平 氏

    株式会社エーアイセキュリティラボ
    カスタマーエクスペリエンス部
    執行役員
    関根 鉄平 氏

増加するWebサイト、足りないセキュリティ人材

株式会社エーアイセキュリティラボは、セキュリティに新たな答を提供し続けるプロ集団だ。同社の執行役員であり、カスタマーエクスペリエンス部を率いる関根氏は、まず近年デジタル業界で何が起きているかを説明した。関根氏によれば、コロナ禍により社会全体の販路がWebサイトに移行し、それに伴ってWebサイトやデジタルサービスの数は増加傾向にあるものの、そのセキュリティを担当する人材は圧倒的に不足しているという。

「調査(※1)によると国内のセキュリティ人材は前年比40.4%増の約39万人と非常に増えていますが、それでも資産を効率的に保護するには5万人以上が足りません」(関根氏)

このような人材不足に加え、Web開発の手法が変化してきたこともセキュリティを考える上では大きな課題となっている。開発手法は旧来のスクラッチの他、ローコード、ノーコードなど多様化し、小さな開発チームがアジャイル形式で進めることも増えてきた。このような手法によって開発スピードは上がっているが、これまでのように一律に脆弱性診断を実施する手法では、スピードもコストも追い付かなくなっている。

またAPIの脆弱性を突く攻撃で、重大な被害が発生する事案も増加しているが、API向けの診断ツールは多くなく、あってもプロ向けで操作が難しい。それを自社で導入して使いこなすのは、非常にハードルが高い。

診断を外注することも選択肢ではあるが、準備や調整、契約に時間や手間がかかり、中には見積もりだけで1カ月かかるケースもある。そこで最近ではWebサイトやアプリをリリースするタイミングで、部分的な脆弱性診断を高頻度に実施する方法が求められるようになっているという。

「脆弱性診断を内製化してみようと考えた時、やはり難しそう、時間がかかりそう、面倒臭そうと感じられることもあると思います。しかし今回ご紹介させていただくAeyeScan(エーアイスキャン)を使えば、簡単な操作で脆弱性診断を行えます」(関根氏)

診断したいサイトのURLを入力すると画面遷移図を自動で作成

エーアイセキュリティラボが開発したAeyeScanは、Webアプリケーションの脆弱性診断 プラットフォームだ。その簡単さ、分かりやすさを示すため、関根氏はその場でデモを行った。

人が行うのは、AeyeScanのコントロール画面に診断したいサイト・トップのURLを入力し、診断をスタートさせることだけ。様々な設定を行うこともできるが、最小限必要なのは、このURLのみだという。以降は自動で診断準備が進んでいく。

まずAeyeScanがクラウド上にブラウザを起ち上げ、そのブラウザを通してサイト全体をクローリング、リンクや画面構成を調査する。調査が完了すると、AeyeScanの画面にはサイトのトップページと、そのページにリンクされたページが縮小表示される。ページのどのテキスト・画像が、どのページにリンクしているかが線で表示された画面遷移図が自動でできあがる(図1)。リンク切れがある場合は、この画面内で判断できるようになっている。

  • 図1 自動で画面遷移図がつくられるので、全体構成を把握しやすい(講演動画より)

    図1 自動で画面遷移図がつくられるので、全体構成を把握しやすい(講演動画より)

申し込み完了ページのように、申し込みフォームへの入力が画面変遷の条件になっているようなページでも、AeyeScanはクローリングが可能だ。フォームが設置されたページの情報を読み取って、どこに何を入力すべきかをAIが判断、適切なダミーの文字列を入力してくれる。

「日本のいろいろなWebサイトを機械学習させて、どんな情報を入れるのが良いかを判断できるようにしています」(関根氏)

調査後は、やはり自動で脆弱性のスキャンが開始されるので、ユーザーが操作をする必要はない。しばらく待つとスキャン結果がリストとグラフで表示される。サイトが抱えるリスクを手間なくスピーディに把握することができるというわけだ。

検出された脆弱性はOWASP TOP 10(※2)のカテゴリー別、あるいはリスク別に表示される。詳細画面では想定される被害を確認することや、IPA『安全なウェブサイトの作り方』等のリンクを表示させて、参考情報を得ることができる。また、スクリーンショットを交えて、脆弱性の検出箇所や検知理由が分かりやすく記載されている。エンジニア向けに詳細なHTTPの通信ログも取得可能だ。

「APIのスキャンも実施できます。画面を持たないAPI、例えばスマホアプリのWebアプリケーションなどについては、開発でよく使われるオープンAPIのファイルをインポートする、あるいはcurlコマンドをインポートすることで、AeyeScan にエンドポイントを認識させ、巡回スキャンさせるのです」(関根氏)

AeyeScan利用のメリット、導入企業からの声

「AeyeScanを使えば、大規模サイトであっても簡単に脆弱性診断を行うことができる」と関根氏は語る一方、「人手も、また高度な専門知識も不要なので、開発スピードに合わせた診断が可能で、セキュリティの品質を一律に保てます」と運用の最適化もAeyeScan導入のメリットだと強調する。

さらに、導入企業からは「外部に脆弱性診断を依頼していた時と遜色ないレポートが得られ、操作もヘルプがあるので困らなかった」といった声もあり、診断の手軽さと運用効率の高さが評価されているとのことだ。

AeyeScan導入企業からの声
  • 外部に脆弱性診断を依頼していた時と遜色ないレポートが得られ、操作もヘルプがあり 困らなかった。また画面遷移図が表示されるので、分かりやすい(大手自動車メーカー)
  • 設定項目が非常に少なく、その割に得られる結果情報が多い(地方銀行IT担当)
  • 従来のツールだと数時間かかっていた設定が、わずか15分で終わった。検出結果についても従来と同等、あるいはそれ以上だった (他ツールからの乗り換えユーザー)

講演後、セキュリティの専門家を交え、同製品に関する質疑応答の時間がとられた。

辻伸弘氏(SBテクノロジー プリンシパルセキュリティリサーチャー) からは「二要素認証が必要な遷移はどう処理されるのか」との質問があり、「事前設定で、人間が二要素認証をパスしたクッキーをつければ、認証後のページのスキャンはできる」との回答がなされた。また徳丸浩氏(EGセキュアソリューションズ株式会社取締役CTO)から、「画面遷移するたびにワンタイムトークンが必要となるサイトもあるが、どう対応しているのか」との質問に対して関根氏は「従来のプロキシ型のツールは通信をキャプチャーしているので、トークンがどの画面で発行されて、それをどこへ送るべきかを人間が設定する必要があったが、AeyeScanは人間と同じようにブラウザを操作しているので、そうした設定は必要がない」と、操作の簡便性を説明した。

IT人材、特にセキュリティを担う人材の不足が重大な課題となる中、AeyeScanのように自動化・効率化を実現するセキュリティツール、サービスは今後ますます注目を集めることになるだろう。

※1:(ISC)² Cybersecurity Workforce Study 2022/2022 Global Cybersecurity Workforce Estimate/2022 Global Cybersecurity Workforce Gap
※2:The OWASP Foundationによってランク付けされたセキュリティ驚異のトップ10

関連リンク

[PR]提供:エーアイセキュリティラボ